Im Rahmen der Funktionalen Sicherheit (FuSi) einer Maschine oder Anlage spielen sowohl die EN ISO 13849-1 als auch die IEC 62061 eine entscheidende Rolle. Beide Normen beschäftigen sich ausführlich mit der Beschreibung der sicherheitstechnischen Funktionen sowie deren Umsetzung. Die eine verwendet zur Beschreibung der sicherheitstechnischen Leistungsfähigkeit den Performance Level (PL) , die andere den Safety Integrity Level (SIL). Dieser Blogbeitrag betrachtet die Unterschiede der beiden Kenngrößen und zeigt eine Möglichkeit auf, wie sich der eine in den anderen überführen lässt.
Laden Sie sich unser Handbuch zum Thema Funktionale Sicherheit herunter
Grundsätzlich sind in dem Themenfeld Funktionale Sicherheit in der Normung verschiedene Industrien unterwegs: Der klassische Serienmaschinenbau auf der einen Seite; auf der anderen Seite der Anlagenbau, unter anderem getrieben durch die chemische und die Prozessindustrie. Für beide sind Themen wie Risikoeinschätzung, Gefährdungsbeurteilung und Bewertungsmethoden von Bedeutung.
Performance Level (PL)
Im Maschinenbau handelt es sich eher um überschaubare Einheiten, bei denen Sicherheitssysteme häufig zum Einsatz kommen. In diesem Umfeld wurde die ISO EN 13849-1 geprägt. Sie berücksichtigt die Maschinenrichtlinie und betrachtet Sicherheitsfunktionen sowohl qualitativ als auch quantitativ. Zur Einteilung unterschiedlicher sicherheitstechnischer Leistungsfähigkeit definiert sie fünf Performance Level (PL a, b, c, d, e), die für durchschnittliche Wahrscheinlichkeitswerte eines gefährlichen Ausfalls pro Stunde stehen. Die EN ISO 13849-1 gibt einen iterativen Prozess zur Gestaltung und Validierung von sicherheitsbezogenen Teilen einer Steuerung (SRP/CS, safety-related parts of control systems) vor.
Safety Integrity Level (SIL)
Die chemische Industrie hat insbesondere die Sicherheitsgrundnorm IEC 61508 vorangetrieben. Aus dieser Perspektive lag der Fokus darauf, Aussagen zur Sicherheit darauf zu basieren, wie wahrscheinlich die zuverlässige Reaktion auf Anforderungen an die Funktion ist, sollte eine sichere Reaktion erforderlich sein. Von der Architektur her sind chemische und prozesstechnische Anlagen tendenziell groß und komplex. Die Sicherheitssysteme sind hier darauf ausgelegt, eher selten in Aktion treten zu müssen. Der Begriff SIL (SIL 1, 2, 3, 4) stammt aus der IEC 61508. Darüber hinaus definiert die IEC 62061 die Anspruchsgrenze SIL CL (Claim Limit) und beschreibt den iterativen Prozess zur Bestimmung und Validierung des SIL in sicherheitsbezogenen elektrischen Steuerungssystemen (SRECS, safety-related electrical, electronic and programmable control systems).
Erhalten Sie Infos zu jedem wichtigen Blogbeitrag oder neue Informationen, die Eaton für Maschinen- und Anlagenbauer veröffentlicht.
Auf den ersten Blick scheinen beide Kenngrößen für die gleichen Anwendungsbereiche zu gelten. Sie sind jedoch je nach Technologie, Risikobeurteilung und Architektur anzuwenden. Die Tabelle stellt die beiden Sicherheitsnormen EN ISO 13849-1 (arbeitet mit PL) und IEC 62061 (arbeitet mit SIL) gegenüber.
Hervorzuheben ist, dass die IEC 62061 keine Anforderungen an die Leistungsfähigkeit von nicht-elektrischen sicherheitsbezogenen Steuerungselementen (Hydraulik, Pneumatik, Mechanik) enthält. Hier verweist sie auf die EN ISO 13849-1.
Für die Berechnung des SIL und des PL stellen die Hersteller von sicherheitsrelevanten Komponenten entsprechende Sicherheitskenngrößen zur Verfügung. Hierzu bietet das Eaton Sicherheitshandbuch detaillierte Informationen sowie nützliche Schaltungs- und Berechnungsbeispiele für beide Kenngrößen.
Die beiden Kenngrößen haben eine Schnittmenge. Dies ist der MTTFd bei der Berechnung des Performance Levels und der PFHd beim Safety Integrity Level. MTTFd (Mean Time to Dangerous Failure) steht für die mittlere Zeit bis zum gefährlichen Ausfall, während PFHd (Probability of Dangerous Failure Per Hour) die Wahrscheinlichkeit eines Gefahr bringenden Ausfalls pro Stunde repräsentiert. Stellt man diesen Wert den Sicherheitskenngrößen gegenüber, so lassen sich die verschiedenen Stufen des PL mit denen des SIL abgleichen, sodass die eine Kenngröße in die andere überführt werden kann.
PL |
Mittlere Wahrscheinlichkeit eines gefährlichen Ausfalls (1/h) |
SIL |
a |
≥ 10-5 bis < 10-4 |
- |
b |
≥ 3 x 10-6 bis < 10-5 |
1 |
c |
≥ 10-6 bis < 3 x 10-6 |
1 |
d |
≥ 10-7 bis < 10-6 |
2 |
e |
≥ 10-8 bis < 10-7 |
3 |
In diesem Zusammenhang noch folgender Hinweis: Die IEC 61508 definiert zwar vier Sicherheits-Integritätslevel, Anwendungen im allgemeinen Maschinenbau erfordern jedoch maximal SIL 3. SIL 4 kommt nur bei ganz speziellen hochkritischen Anwendungen mit hohem Schadensausmaß bzw. einer hohen Anzahl an potenziellen Personenschäden vor. Dazu gehören z. B. Fly-By-Wire- oder Stear-By-Wire-Systeme von Flugzeugen bzw. Fahrzeugen. Dazu gehören z. B. Fly-By-Wire- oder Stear-By-Wire-Systeme von Flugzeugen bzw. Fahrzeugen.
Sowohl der PL als auch der SIL haben ihre Berechtigung und sind wichtige Bausteine auf dem Weg zur sicheren Maschine bzw. Anlage und damit zur Funktionalen Sicherheit. Dass es zwei Kenngrößen für die Beurteilung der sicherheitstechnischen Leistungsfähigkeit von Systemen gibt, ist primär historisch begründet. Im Ergebnis sind beide miteinander vergleichbar und lassen sich sogar „umrechnen“. Grundsätzlich können Konstrukteure für rein elektrische, elektronische und programmierbar elektronische (E/E/PE) Systeme entweder die EN ISO 13849-1 oder die IEC 62061 anwenden und haben somit die Wahl zwischen PL oder SIL. Dabei eignet sich der SIL insbesondere für große, komplexe Anlagen bzw. Fabriken mit mehreren Maschinen, der PL eher für einzelne Maschinen.
Registrieren Sie sich, um über Neuigkeiten, Produkt-Updates und Branchentrends auf dem Laufenden zu bleiben.
Abonnieren Sie unseren Newsletter für Maschinen- und Anlagenbauer. Bleiben Sie in Verbindung mit uns um Informationen über Änderungen von Richtlinien sowie neuen Technologien und Dienstleistungen zu erhalten.
E-Mail senden
